基本医疗保健 IT 标准和法规指南

已发表: 2022-03-25

在 1980 年代,ERP 和 EHR 迎来了医疗保健 IT 的现代时代。 今天,临床护理、患者安全和质量改进几乎完全交给了计算机。

尽管如此,尽管有一系列可用的通信技术,但没有通用的方法来管理和传输医疗保健数据。 阻碍数据顺利交换的最大障碍是无序地采用医疗数据标准来存储、编码和共享临床信息。

尽管联邦政府一直在推进医疗保健系统的整合,但驾驭许多医疗保健 IT 标准的需求依然坚定。

这篇博文列出了重要的医疗保健 IT 标准和法规,供医疗保健软件公司和医疗组织在开发和推广医疗保健技术时牢记。 让我们潜入吧!

管理数据安全的医疗保健 IT 标准

HIPAA

曾经开始作为保护失业工人健康保险的法案,HIPAA 或健康保险流通和盈利法案,现在可能是保护医疗信息的最著名的立法。 它为存储、共享、管理和记录个人身份健康信息 (PHI) 设定了标准。

因此,任何参与运营医疗保健数据或提供处理此类数据的软件的实体都必须确保满足必要的健康信息技术法规。 HIPAA 由几个部分组成:

  • 安全规则
  • 隐私规则
  • 违反通知规则
  • 综合规则
  • 执行规则

与医疗保健软件绑定的是安全、隐私和违规通知规则。

HIPAA 安全规则

安全规则概述了保护 PHI 的安全措施,涵盖三个部分:技术、物理和管理安全措施。

技术保障

技术保障要求医疗机构在电子 PHI 超出内部服务器时对其进行加密。 组织可以自由选择适当的方式来实施以下要求:

  • 访问控制(必需)确保有权访问 PHI 的每个用户都有唯一的名称和密码。 医疗保健数据标准还要求制定程序,在紧急情况下管理 PHI 的发布和披露
  • ePHI 身份验证(可寻址)需要建立机制来确认 PHI 是否已被更改或破坏
  • 加密和解密(可寻址)规定了对发送到内部服务器之外的消息进行加密和解密的功能
  • 活动日志和审计控制(必需)注册 PHI 访问尝试并记录访问后对数据所做的更改
  • 一旦设备无人看管,自动注销(可寻址)可防止泄露个人健康信息

物理保障

物理保护措施侧重于保护对 PHI 的物理访问,并制定了保护移动设备和工作站的措施。 医疗机构必须实施:

  • 设施访问控制(可寻址)
  • 定位和使用工作站的指南(必填)
  • 移动设备使用流程(必填)
  • 库存和硬件策略(可寻址)

行政保障

行政保障措施为 PHI 保护制定了高级别的措施。 他们要求:

  • 进行风险评估(必需)
  • 引入风险管理政策(必填)
  • 培训员工安全处理健康数据(可寻址)
  • 制定应急计划(必填)
  • 测试应急计划(可寻址)
  • 限制第三方访问数据(必需)
  • 报告安全事件(可寻址)

HIPAA 隐私规则

HIPAA 医疗保健数据标准的隐私规则概述了如何使用和披露 PHI 的措施。 根据隐私规则,医疗机构应该:

  • 培训员工以确保他们知道哪些信息可以和不可以在组织的安全机制之外共享
  • 实施适当的措施来维护 PHI 的完整性
  • 确保在将患者的健康信息用于营销、筹款或研究之前获得患者的书面许可

HIPAA 违规通知规则

违规通知规则要求医疗保健组织在其 PHI 受到损害时通知患者。 它还要求实体将 PHI 违规行为及时通知卫生与公众服务部,并在违规影响超过 500 名患者时向媒体发布通知。

海泰克

2009 年签署了《用于经济和临床健康的健康信息技术法案》。新的医疗信息技术法规旨在促进“健康信息技术的采用和有意义的使用”,并对 HIPAA 进行更严格的执行。 该法案要求医疗保健提供者进行安全审计,以调查他们是否遵守 HIPAA 的隐私和安全规则。

因此,HITECH 可以被视为 HIPAA 的执行机构。 医疗保健 IT 法规还为医疗保健组织提供财务激励,以抵消切换到 EHR 的成本以及对医疗保健提供者和软件供应商的更严格的数据安全要求和处罚。 在 HITECH 下,必须通知患者未经授权访问其数据,并且只能通过安全方法共享个人健康信息。

GDPR

通用数据保护条例是控制欧盟所有问题数据的关键医疗保健 IT 条例之一,健康信息属于其范围。 值得记住的是,GDPR 不仅适用于欧盟境内的组织,也适用于欧盟以外的组织,以防它们针对欧盟境内的个人。 组织为确保 GDPR 合规范围而采取的关键步骤:

  • 任命专门的数据保护官
  • 通过进行数据保护影响评估 (DPIA) 评估与数据相关的风险
  • 设计并推出数据安全策略
  • 在 72 小时内通知数据泄露。

控制医疗设备和软件作为医疗设备 (SaMD) 的医疗保健 IT 法规

食品和药物管理局

美国食品和药物管理局对从食品到药品再到化妆品的一切进行监管。 医疗保健 IT 供应商感兴趣的是,该实体审查和设置医疗设备和用作医疗设备的软件应用程序的健康 IT 标准。 因此,如果您的软件涉及执行医疗任务并且意外使用该软件必然会带来高风险,您将需要获得 FDA 的许可。

受 FDA 监管的软件示例可能包括帮助控制血压袖带充气和放气的应用程序或指导胰岛素泵上胰岛素输送的移动应用程序。 您可以在此处查看使您的产品获得 FDA 批准的所有功能。

另一方面,如果您的软件不符合医疗设备的定义或对公众构成低风险,您可能不需要申请 FDA 批准。 被 FDA 认证排除的应用程序可能包括帮助患者自我管理病情而不提供具体治疗建议的移动应用程序,或帮助医疗保健提供者自动执行日常任务的应用程序。 为了获得 FDA 的批准,

对您的设备或 SaMD 进行分类

在您的医疗保健应用程序开发之旅开始时对您的软件或设备进行分类。 根据您产品的功能,它可能属于 I、II 或 III 类,这决定了要执行的医疗软件法规。 设备所属的类别取决于其预期用途,更重要的是,它的风险。 I 类涵盖风险最低的设备和 III 类——风险最高的设备。 要确定产品类别,您可以直接进入分类数据库并按名称搜索设备。

或者,您可以转到面板列表并按您的设备所属的面板或医学专业进行搜索。 此外,由于高达 74% 的 I 类设备免于上市前通知流程,因此请在“医疗设备豁免”页面上搜索您的产品是否属于这种情况。 如果您正在开发具有全新预期用途的医疗设备或 SaMD,我们建议直接联系 FDA 以讨论可能适用的医疗保健信息技术法规。

实施必要的控制

I 类医疗器械需要实施一般控制,即:

  1. 企业注册和医疗器械上市(21 CFR Part 807)
  2. 质量体系法规(21 CFR Part 820)
  3. 标签要求(21 CFR Part 801)
  4. 医疗器械报告(21 CFR Part 803)
  5. 上市前通知(21 CFR Part 807)
  6. 报告更正和删除 (21 CFR Part 806)
  7. 研究器械临床研究的研究器械豁免要求(21 CFR Part 812)

II 类设备需要实施上述一般控制、特殊控制和上市前通知。 III 类设备需要实施一般控制和上市前批准。 准备好所需的文件后,请提交以供考虑。 注:截至 2022 年初,该实体正在起草规范远程数据采集和临床调查的数字健康技术的指南。 该指南尚未最终确定,但我们将密切关注。

医疗保健内容结构标准

HL7

HL7 由提供框架和相关健康信息法规的非营利实体 Health Level Seven International 开发,负责处理不同医疗保健系统之间的医疗数据交换。 该标准是 EHR 的支柱。 由于 EHR 是一个分布式系统,它依赖于多个子系统之间的平滑交互来构成特定的医疗保健流程,因此 HL7 充当了这些子系统之间的链接。 HL7 医疗保健 IT 标准有两个版本。

  • HL7 版本 2:HL7 v2 适合集中式患者护理系统和患者数据驻留在部门子系统中的分布式环境。 随着HITECH的签约,HL7 2.5.1版本被特选为满足特定认证的标准。
  • HL7 版本 3:HL7 v3 采用一种新方法来交换临床信息,该方法依赖于以 XML 语法编写的消息。 HL7 v3 的目标是增加 HL7 标准的全球采用率,消除模糊性,并创建一个没有遗留问题的更精确的标准。 因此,与 HL7 版本 2 相比,HL7 版本 3 具有一致的数据模型和明确定义的角色,用于不同临床功能的应用程序和消息。

HL7 版本 3 主要用于没有传统通信要求的应用程序,没有 HL7 版本 2 的历史使用,或者在政府对 HL7 v3 使用有严格要求的地区。 两个版本的医疗数据标准共存,在同一机构同时部署多个版本的标准是很常见的。

消息传输标准

高频头

Fast Healthcare Interoperability Resources 基于 HL7 构建,描述了电子健康记录的数据格式和 API。 该标准提供了一组基于 HTTP 的 RESTful API,让医疗保健提供者可以共享 XML 和 JSON 格式的数据。 该标准适用于各种设置,从移动应用程序到云应用程序再到基于 EHR 的数据共享。 FHIR 的一个基本要素是资源。

根据其类型,资源可以包含有关患者人口统计、药物、护理计划、过敏症等的数据。 合并后,资源构成了不同的临床和管理工作流程。 尽管医疗保健提供者对 FHIR 的成熟度反应不一,但 FHIR 预计将在 2024 年取代其他医疗保健数据交换标准。原因是 FHIR 提供了构建标准化应用程序以访问医疗保健数据的可能性——无论哪个 EHR 支持基础设施。

DICOM

DICOM,或医学中的数字图像和通信,促进了跨软件和硬件的医学图像和相关数据的交换。 与不包含有关图片上下文数据的标准图像文件(如 JPEG 或 TIFF)相比,DICOM 文件具有更复杂的结构。

它们包含元数据,可让您深入了解患者和图像采集参数。 DICOM 适用的系统是多方面的:从 CT 和 MRI 扫描仪到图片存档和通信系统 (PACS) 到放射信息系统 (RIS)。

处理医疗保健技术解决方案时要记住的关键事项

大流行已促使许多医疗保健组织和健康初创公司以数字为先。 因此,进入医疗保健市场的技术解决方案数量大幅增加。 作为医疗保健技术的提供者和用户,您可以做些什么来确保相关解决方案符合所有必需的医疗保健 IT 法规? 我们编制了一份需要牢记的基本提示列表。

给医疗技术供应商的提示:

  • 开发新技术解决方案需要深入了解医疗保健系统的复杂性和细节。 因此,在深入研究产品设计之前,请务必了解产品的使用环境,包括组织设置、相关利益相关者群体和利益相关者关系。 评估与使用您开发的医疗保健技术相关的风险也很重要。 了解风险将帮助您概述必要的医疗保健 IT 标准。
  • 要使您的产品获得批准,您需要向监管机构提交所有类型的文件。 因此,在构思、设计和开发您的解决方案时,请记录开发过程。 要确定您需要遵循哪些文件和程序,请参阅卫生与公众服务部、监察长办公室 (OIG)、缉毒署 (DEA) 和食品和药物管理局 (FDA)。
  • 在实际进入市场之前,考虑进行外部合规性测试。 与了解医疗软件法规的供应商合作有助于降低将产品推向市场的风险。

给医疗机构的提示:

为确保您使用的技术符合所有必要的医疗软件法规,建立一个全面的组织范围内的合规计划至关重要。

  • 为此,请创建一个多学科委员会并任命一名首席合规官 (CCO) 来指导合规工作。
  • 第二步,让委员会制定完成合规所需的必要政策、流程和时间表。
  • 确保您的合规路线图包含定期的内部和外部审计。 聘请第三方审计师审查您的合规流程有助于识别漏洞、漏洞和工作流程效率低下。
  • 为了最大限度地提高您的合规性,推出强大的员工教育计划,并确保您的员工被教导始终遵守相关的医疗保健 IT 标准。
  • 最后,通过定期评估合规计划的有效性,确保您的努力取得成果。

而不是一个结论

随着医疗保健技术的发展势头越来越猛,医疗 AI、IoMT 和 RPA 等创新技术获得更多关注,监管机构致力于制定医疗保健 IT 标准。 随着标准变得更加精确和复杂,医疗初创公司和医疗保健组织很难找到与其产品相关的内容并保持合规性。

因此,如果您想开发一个检查所有所需合规框的医疗保健解决方案,请联系 ITRex 专家。 我们将帮助您实现最高的安全性和不妥协的安全性。

最初于 2022 年 3 月 22 日在 https://itrexgroup.com 上发布。